（计算机软件与理论专业论文）ip电话安全技术研究与实现.pdf

y 3 6 3 8 s 电子科技大学研究生论文纸 摘要 学科专业：计算机软件与理论 论文题目：逛堂窆燮研究与实毋 硕士生：甘杰夫( 9 8 s 6 - 4 0 )导师：舒敏副教授 本文课题来源于中国国家信息安全测评认证中心重点项目，目前，该项目已 经完成，并已通过测试及初步鉴定，将于2 0 0 1 年4 月正式鉴定。- - 本文详细分析了在大型企业环境中使用i p 电话时面临的安全闷题，论文按如 下思路展开：首先提出i p 电话应用的安全要求，然后分析安全漏洞，根据安全 要求，针对安全漏洞提出需要提供的安全服务，然后选取合适韵加密算法和协议 构建出一个安全模型，经过分析这个安全模型的脆弱性，证明其安全性之后，给 ， 出了这个安全模型的实现，最后，将提出的模型和传统的方法做了优劣比较，并 对进一步的研究做了一个展望。 本文提出了如下h 3 2 3i p 电话安全解决方案：使用s r p 认证协议实现用户身 份鉴别，用i d e a 加密算法加密妒电话应用中备类控制信息及语音信息，用对 称密码学密钥交换协议实现密钥交换。并通过一组模块化的安全套件实现了该安 n 全方案。1 7 关键词：v o i p ，s r p ，i d e a ，h 3 2 3 ，i md r i v e r 电子科技大学研究生论文纸 a b s t r a c t s p e c i a l t y ：c o m p u t e r s o f t w a r ea n d t h e o r y t i t l e ：t h er e s e a r c ha n d i m p l e m e n t o f t h ei pp h o n ys e c f i r et e c h n o l o g y 十 m a s t e r ：g a n j i e f u ( 9 8 s 6 - 4 0 ) a d v i s o r ：s h um i n ( a d j u n c t p r o f e s s o r ) j t h i sp r o j e c ti sf i o mc n l s t e c ( c h i n an a t i o n a li n f o r m a t i o ns e c u r e t e s t i n g a n d e v a l u a t i o nc e n t e r ) n o w ，t h e p r o j e c t h a sb e e n c o m p l e t e d , a n d w i l lb ea u t h e n t i c a t e d i na p r i l ，2 0 0 1 i nt h i sp a p e ria n a l y z e dt h ed e c u r ep r o b l e m so fh 3 2 3i pp h o n e a p p l i c a t i o n w h e n u s e di ne n t e r p r i s ee n v i r o m e n ti nd e t a i l ：f i r s t ，1b f i n g e du pt h es e c u r er e q u i r e m e n t st o t h ei pp h o n e a p p l i c a t i o n ；t h e n ，ia n a l y z e dt h es e c u r el o o p h o l e ；a c c o r d i n g t ot h es e c u r e r e q u i r e m e n t ，ip r e s e n t e d t h es e c u r es e r v i c ew h i c hw a sn e e d e dt os o l v et h es e c u r e l e a k t h e nt oc h o s et h ea p p r o p r i a t ec r y p t o g r a p h i ca l g o r i t h ma n d p r o t o c o lt oc o n s t r u c t as e c u r em o d e la f t e ra n a l y z i n gt h ev u l n e r a b i l i t yo f t h es e c u r em o d e la n d p r o v i n g i t s s e c u r i t y ，ig a v et h ei m p l e m e n to f t h es e c u r em o d e l i nt h ee n d ，1c o m p a r e dm ys e c u r e m o d e lw i t ht h ec u s t o ms c h e m ea n d p r e s e n t e dw h a t n e e d e dt ob ed o n et h en e x t s t e p i nt h i sp a p e r ，ib r i n g e d u p as e c u r es c h e m ew h i c hu s e ds r p p r o t o c o la s t h e a u t h e n t i c a t i o np r o t o c o l ，u s e di d e at oe n c i p h e rt h ec o n t r o li n f o r m a t i o na n dv o i c ed a t a o f t h epp h o n e a p p l i c a t i o n ，a n du s e ds y m m e t r i c a lc r y p t o g r a p h i ek e ye x c h a n g e p r o t o c o la sm yk e ye x c h a n g ep r o t o c 0 1 a n d ig a v et h e i m p l e m e n t o f t h es e c u r e s c h e m ew h i c hu s e da g r o u p o fs e c u r es e t k e yw o r d ：v o i p ，s r p ，i d e a ，h 3 2 3 ，i md r i v e r 电子科技大学研究生论文纸 1 、引言 1 1i p 电话及其分类 1 1 1i p 电话的含义 i p 电话又称v o i p ，在广泛意义上又称i pt e l e p h o n y j 其基本思想是将语音通 过采样、压缩封装到d 包中通过i p 网络进行传送。通过利用i p 网络的多路复 用能力，与传统电路交换网络相比较，i p 电话降低了通话所需资源、 设备方面 的费用。对普通人而言最为直观的好处就是，打长途电话变成了打市话，费用大 幅降低了。 然而，d 电话的优越性不仅只此。在i p t e l e p h o n y 含义的层面上，它还意味 着，通过使用基于包交换的网络( 如i p 网) ，通信不再局限于单纯的通话，还可 一 以很容易地扩展为集语音、图像、数据为一体的多媒体通信。人们在说话的同时， 还可以将视频信号和其他数据发送到对方。通过视频信号的接收和发送，人们可 以真正实现面对面的对话；而通过其他数据的发送( 如发送文件，文本聊天，共 同编辑一个文档，等等) ，可以很容易实现下面这样一种情况：人们可以坐在计 算机前，一边和异地的同事通话，一边轮流编辑一个会议文档；然后在一个5 0 0 人的会议上，将这个文档发送给分布在全球各地的5 0 0 个人，他们只需坐在各自 的计算机前就可以参加这个视频会议，并很轻松的获取各种所需资料。 1 1 2i p 电话的历史及分类 i p 电话从产生到今天日趋成熟的局面走过了将近1 0 年的历程，其发展可分 为三个阶段： 产品类型解决方案应用时间 第一代i n t e m e t 电话软件 第二代i p 电话网关 基于p c 客户机，在p c 到p c 之问建立呼叫 提供p c 到电话、电话到 p c 和电话到电话之间的 呼叫 p a g e 1o f5 0 1 9 9 0 年1 9 9 5 年 1 9 9 6 年至今 电子科技大学研究生论文纸 第，：代 i p 网与话音网络形成综合的话音数据 今后1 0 - 1 5 年05 第二i 代 兮 i 综合视频网络 i p 电话在发展过程中形成三种类型，这三种类型针对不同用户各有优势，都 在不停发展之中： 1 ) p c 到p c 型：用户通过配有耳机、话筒的多媒体p c ，通过i p 网络直接与 对方通话： 7 2 ) p c 到电话( 电话到p c ) 型：在第一种类型基础上，借助专用的口电话 网关，通话的另一方可以为普通电话用户； 二 3 ) 电话到电话型：在第二种类型基础上，通话双方均可为普通电话用户。这 就是我们日常用口电话卡打电话时使用的类型。 i p 电话的迅速发展促使了相关国际标准的出台，以使口电话技术走向标准 化从而更广泛地应用和发展这一技术。 1 2i p 电话的标准 目前，构建i p 电话体系结构的标准有两种：h3 2 3 建议和s i p 协议( s e s s i o n i n i t i a t i o np r o t o c o l ，会话发起协议) 。这二者是完全平行的，它们所要达到的目的一 致构建d 电话网，但使用的方法不同，并且它们互不兼容。 h3 2 3 建议是为多媒体会议系统而提如，并不是为口电话专门提出的。只是 i p 电话，特别是电话到电话经由网关的这种舻电话工作方式，可以采用h3 2 3 建议来完成它要求的工作，因而h3 2 3 建议被“借”过来作为d 电话的标准。对 i p 电话来说，它不只用h3 2 3 建议，而且用了一系列建议，其中有h 2 2 5 、h 2 4 5 、 h2 3 5 、h4 5 0 、h3 4 1 等。只是h3 2 3 建议是“总体技术要求”，因而通常把这种 方式的i p 电话称为h3 2 3i p 电话。h3 2 3 建议是个较为完备的建议书，它提 供了种集中处理和管理的工作模式。理论和实践都表明，h3 2 3 有能力做成任 意规模的i p 电话系统。 s i p 协议则提出了另一套i p 电话的体系结构。它具有简单、扩展性好以及和 现有的i n t e m e t 应用结合紧密的特点。但s i p 协议需要相对智能的终端。这增加 了用户开销。 我国信息产业部于今年四月正式颁布i p 电话“专真业务总体技术要求、i p 电话网关设备技术耍求和i p 电话网关设备互通技术规范，采用h3 2 3 为v o m 电子科技大学研究生论文纸 体制的基础，采用h2 4 8 作为网关设备标准，用h 3 2 3 + h 2 4 8 作为构建我国i p 电话网框架。 由于h3 2 3 被采纳为我国v o l p 标准，同时，它也是当前发展得最完善、流 行最广的标准。因此，本文将在h3 2 3 框架内对i p 电话的安全问题进行讨论， 并提出解决办法。 1 3i p 电话的安全威胁 1 3 1 安全威胁 i p 电话通过i p 网络传送语音( 图像、数据) 信息，而m 网络是一个不提供 安全保证的网络。任何人都可以通过一定手段对i p 电话应用进行攻击，攻击手 段包括窃听( e a v e s d r o p p i n g ) 、欺骗( m a s q u e r a d e ，一个用户或实体冒充并不在 场的另一个人或另一件事，欺骗通常和重发等其他形式的攻击联合使用，如截获 j 一鉴别信息，然后在有效鉴别序列出现后，重发该序列) 、重发( r e p l a y ，重发以 前曾发送过的数据) 和报文修改( m o d i f i c a t i o no f m e s s a g e ，对数据进行非法操纵， 如插入、删除和修改等) 等。 在这些攻击之下，d 电话应用面临两大威胁：非授权用户非法使用系统资源； 合法用户的正常通话会受到窃听、篡改或是中断。 1 3 2 窃听试验 我们用两台p c 在局域网上，通过n e t m e e t i n g 直接拨打i p 电话( 通过对方口 地址) 。同时，在h u b 上用r a d c o m 公司的协议分析仪抓取两台p c 之问的i p 包流。然后，过滤出n e t m e e t i n g 的语音数据包，利用协议分析仪的语音回放功 能，就完全重现了双方对话。 而今年一月曝光的美国f b i 的c a r n i v o r e 系统更明白地揭示了这种窃听的危 险性。c a r n i v o r e 系统运行在f b i 的p c 上，它可以安装到一个i s p 用来捕获口 流。用这种系统就完全可以重现我们在实验室局域网上所作的试验不仅如 此，它甚至还可以任意篡改通话内容。 窃听试验证明没有安全保护的i p 电话应用随时可能遭受恶意攻击，用户的正 常通信得4 i 到安全保证。 p a g e 3o f5 0 电子科技人学彬 究生论文纸 1 4i p 电话现有的安全解决方案 现有的i p 电活安全解决方案基本都集中在“语音加密”上。它们可分为两类 产品：1 、i p 电话应用与加密集成型产品；2 、i p 电话应用与加密分离型产品。 除此之外，i t u t 针对h 3 2 3i p 电话提出了一套安全框架；h2 3 5 建议。这个框 架虽然还在讨论之中，但它对i p 电话的安全问题提出了比较系统的解决思路。 ( 最近，在新出的c i s c o 的i o s l 20 ( 7 ) t 版中集成了部分h2 3 5 协议) 。 1 4 1 口电话应用与加密集成型产品 r s a p h o n e ：这是德国s a a r l a n d 大学的两个学生在1 9 9 5 年时设计的，其 原理是，在通话之前，双方互相交换r s a 公钥；然后，用对方的公钥来 加密自己发出的语音。由于只有私钥能够解密语音，所以偷听者即使获 取公钥，也不能知道谈话内容。这种方案有两个缺点：1 、r s a 加、解 密速度很慢，对通话效果有影响；2 、不能防止中间人攻击。 s p e a k f r e e l y ：这是j o h nw a l k e r 设计的一个免费球电话软件，其原理是 用p g p 来进行i d e a 密钥交换，然后用i d e a 对语音进行加密。 p g p f o n e ：这是p h i l i prz i m m e r m a n n 设计的免费i p 电话软件。用d h 交换密钥，用b l o w f i s h ( 或3 d e s ) 加密语音。 以上产品都不提供对h 3 2 3 协议的支持，相互之间缺乏兼容性。其安全解决 思路也很简单：通话双方直接交换语音，对语音数据的加密直接由d 电话软 件实现( 用对称加密或非对称加密) ；为加密语音，先进行密钥交换，一般采 用p g p 或d i f f i e h e l l m a n 来进行。并且由于i p 电话应用与加密集成在一起，既 不利于i p 电话应用的扩展，也不利于加密方法的改进。 1 4 2i p 电话应用与加密分离型产品 v o i p - v p n ： v o c a l t e c 公司，s h i v a 与c l a r e n t 公司都有这类产品，它使 用户可以在共享的口网络上拥有一个虚拟私有v o i p 网络。共享一个 v p n 的用户可以直接进行无缝的相互呼叫。这种方案适宜于本来就拥有 一个v p n 的公司，否则成本太高。 以s h i v a 与c l a r e n t 公司的解决方案为例来说明其工作原理：首先用户拨 通c l a r e n t 公司的i p 电话网关，在这里将语音采样、编码、压缩，然后 p a g e 4o f5 0 电子科技大学研究生论文纸 封装为i p 包。然后，经设定的路由，i p 包被送往s h i v a 公司的l a n r o v e r v p n 网关，在这里将i p 包加密，通过v p n 网关建立起来的v p n 通道 送往远程的) n 网关及i p 电话网关。 这种解决方案的思想是，加密对i p 电话应用透明，v o p 只解决自己应用范 围内的问题，加密交由v p n 实现。这种方案下，v o i p 和v p n 技术有很好的扩 展空间。 j 1 4 3 2 3 5 协议 ， 这是i t u t 1 6 研究组提出的，它在h3 x x 系列( 其控制信令使用h 2 4 5 协 议) 规范中增加了安全服务，如身份鉴别、保密( 数据加密) 等。该协议集中讨 论了端点认证和媒体加密问题。主要有以下几点： 保密( 加密) ，一 身份鉴别 密钥交换( r s a & d s s ) 对媒体流的加密 信令流程的保护 1 5 我们的解决方案 我们主要研究在大型企业中使用h 3 2 3i p 电话时的安全问题。在这种应用领 域中，终端的处理能力较弱，用户数量不是特别多。可以使用一个高性能服务器 作为整个i p 电话系统的核心服务器( 网守) 。要尽量减少口电话应用以外的开 销( 如认征服务器等开销) 。 我们将在h3 2 3 建议的电话框架内，借鉴h2 3 5 建议的思想来分析i p 电 话的安全问题。然后，利用安全领域中研究比较成熟的一些方案来解决这些问题。 总体来说，我们的方案是：使用s r p ( s e c u r er e m o t ep a s s w o r dp r o t o c 0 1 ) 作 为身份鉴别协议，用来解决用户和服务器( 网守) 的身份鉴别问题：用安全信道 解决信令信息传输的安全性问题；用安全信道解决密钥分发问题；用安全信道解 决语音流的安全问题。本文的重点将放在身份鉴别和密钥分发问题上。 电子科技大学研究生论文纸 2 、i p 电话安全要求与安全性分析 2 1i p 电话安全要求 一般而言一个安全系统所提供的服务可以归纳为六种：身份认证 ( a u t h e n t i c a t i o n ) ，数据完整性鉴别( i n t e g r i t y ) ，数据保密性( p i v a c y ，c o n n d e n t i a i ) 、 抗抵赖( n o n r e p u d i a t i o n ) 、访问控制( a c c e s sc o n t r 0 1 ) 和可用性( a v a i l a b i l i t y ) 。 从i p 电话应用角度来看，身份认证指确认通话的对方确实是他所声明的身份； 完整性鉴别指校验通信双方交换的数据确实没有被篡改；保密性指对数据加密， 使得即使它被中途截取，偷听者都只能看到无实际意义的密文，而无法将其解密； 抗抵赖指通话的对方不能否认自己的身份；访问控制可以理解为服务商对用户服 务的授权：可用性指m 电话系统在合法用户需要提供服务时能提供可靠的服务。 具体来说，在各种攻击之下，：电话要向用户提供安全可靠的服务，就必须 ， 保证：用户通话内容是保密的；用户通话内容不被篡改( 或篡改后能被发现) 仅有拥有合法账户的用户才能使用m 电话提供的服务；用户账户不能( 或 很难) 被盗用；服务提供商可以对合法用户进行授权，以对不同用户提供不同 级别的服务；通话双方有保留自己私人信息的能力( 如，在正常通话时，保护 自己的i p 地址或物理的电话号码不被泄露) 。 在d 电话安全要求中，如何鉴别合法用户和如何保护用户通话内容这两点是 核心。而保护通话内容问题依赖于加密算法的安全性和密钥安全性。因此口电 话安全要求可以总结为三点： 如何鉴别合法用户。 如何选取适宜的加密算法加密语音。 如何保证密钥的安全分发。 2 2h 3 2 3i p 电话安全性分析 任何一个信息系统的功能的实现都是通过信息流来完成的。相应的，信息系 统的安全性问题其实就是如何保护信息流的问题。h3 2 3i p 电话应用系统作为 个信息系统，其安全问题也是如何保护其中的信息流的问题，我们下面先就h 3 2 3 的工作过程作一个简单描述，分析其中的信息流，然后按其敏感程度提出相应的 保护疗法。 p a g e 6o f5 1 3 电子科技大学研究生论文纸 2 2 1h 3 2 3l i p 电话的典型工作过程 2 2 11 h3 2 3 简介 h3 2 3 是i t u 推荐标准，用于解决利用i p 网络通信的声音和多媒体会议产品 的互操作性。h3 2 3 是h3 2 x 系列标准之一( h 3 2 0 用于i s d n ，h3 2 4 用于p o t s ， h 3 2 1 用于a t m a a l l ) 。 h 3 2 3 系统的控制分别由三个信令功能实现：q9 3 1 呼叫信令信道，h2 4 5 控 制信道和r a s ( r e g i s t r a t i o n ，a d m i s s i o n ，a n ds t a t u s ) 信遭。q9 31 用于在两个端点 ( t e r m i n a l ) 之间建立连接ih2 4 5 允许端点交换流特性和状态信息；r a s 用于 在端点和网守( 网闸，g a t e k e e p e r ) 之间交换信息。q9 3 l 和r a s 包含在h 2 2 5 0 中。 h 3 2 3 定义了四个主要部件：终端，网关( g a t e w a y s ) ，网守和多点控制单元 ( m c u ) aj 终端可以是p c 或一个独立设备在其上运行有h3 2 3 协议栈和多媒体应用 程序，它用于实时双向的多媒体通信；建议定义了呼叫信令，控制消息，多点通 信语音编码，视频编码和数据协议。h2 2 50 定义了呼叫信令，注册，允许 ( a d m i s s i o n s ) ，以及媒体流打包、同步的消息。h2 4 5 定义了用于能力交换，打 开、关闭用于媒体流的逻辑信道等的命令，请求和指示消息。它必须支持g 7 1 1 ， 如果支持视频的话，还必须支持q c i fh 2 6 1 。 电子科技大学研究生论文纸 la u d i ov i d e o la p p sa p p s g 7 l lh2 6 1 g 7 2 9h2 6 3 g 7 2 3 l 鬻蒸囊霪蒸翮圜凰阑 图2 1 终端协议栈 网关用于连接h3 2 3 网络和非h 3 2 3 网络( 1 s d n ，p o t s ) ，网关通过转换呼 j 叫建立和释放协议，来转换两个网络的不同媒体格式，对于h3 2 3 网络内的通信， 网关是不需要的( 在我们的应用中不涉及网关) ； 网守可以看作h 3 2 3 网络的大脑，它是h3 2 3 网络内所有呼叫的焦点，尽管 网守不是必须的设备，但它的确可以提供一些很重要的服务：为语音和多媒体会 议配置带宽( 通过控制呼叫数来实现) ；对终端和网关进行寻址，授权和鉴别； 管理账户；管理在线名录；计费以及呼叫寻址等。 躅22 网守组件 p a g e 8 o f5 1 ) 电子科技大学研究生论文纸 多点控制单元：m c u 提供对三方终端以上的电话会议的支持。所有参与会 议的终端与m c u 建立一个连接。m c u 管理会议资源，语音( 视频) 编码算法， 还可以管理媒体流( 在我们的应用中不涉及m c u ) 。 2212 h3 2 3 中的信息流 h3 2 3i p 电话中各组件之间的通信通过信息流传输来进行。这些信息流就是 我们所要保护的对象，它们分为以下几种； 语音信号，包含数字化编码的语音。它通过媒体信道，在两个终端之间传输。 语音控制信号，用以控制语音包的流量等。它通过媒体控制信道，在两个终 端之间传输。 呼叫信令，用于呼叫建立，断开连接和其他呼叫控制功能。在呼叫信令信道 上传输。位于两个终端之间，但中间可以通过网守中继( 不直接在终端之间传输) 。 r a s 信令，用于终端与网守之间的注册、授权、标志状态和分配带宽等操作。 一一 通过r a s 信道，在终端与网守之间传输。 h2 4 5 控制信令，用于协商打开媒体信道的方式，控制媒体信道参数等操作。 在h2 4 5 信道上传输( 也可封装在呼叫信令中传输) 。位于终端之间，也可通过 网守中继。 2213h3 2 3 工作过程 为简化分析，我们在h3 2 3 网内取一个典型的组成：两个终端( e p a e p b ) ， 一个网守( g k ) 组成的一个简单的h3 2 3 区( z o n e ) 。我们只针对语音电话应用分 析其工作流程。 h 3 2 3 定义了两种呼叫信令模型。第一种是直接呼叫信令，其中信令直接在 两个端点之间传递；第二种模型是网守路由信令，由网守中继两个端点之间的信 令。 针对大型企业内部m 电话应用，我们选取两个终端均到网守注册，并由网守 路由呼叫信令的工作模式( 这种模式下容易配置安全机制) ： p a g e 9o f 5 0 纛喜竺i 愁i 雪2 上3 向嚣嚣怒消息，请求使用球电话系统。使用 网守路由呼叫信今 “。“ 蛇：! 蓑箸：! 息竺：p a ，确认允许e m 的使用请求及网守路由呼叫的 ：青求：并在a c f 中包含自己的呼叫信令信道传输地址。“。 = 詈二邙中兰警输地址发蝴z z s 酬毒分蒜t 槭慨， 具中包含e p b 的地址。 “。” ：? ：。，日，消息发送到e p b ，以请求进行连接。 ：5 7 即8 用h 2 2 5 “c a l l p r o c e e d i n g ”消息应答i 。 a k u 鹕息到g k 。 7 ) g k 向e p b 应答a c f 消息，确认e p 8 的；吉带 ：；嚣言：萎妻1 2 2 s “札e 盯r n 舻消凰提示e 以连接已经建立。 黑：黧g k 筌h z ：s 气。啪纠嘲，夏篙羞触。 畎觚蝴斛c 卯黼，这脚蒜蠢篡j 僦粒 p a g c 1 0 o r 5 0 鱼兰型垫盔堂婴塑生堡壅堡 往e p a 的“c o n n e c t ”消息中包含有e p a 的h 2 4 5 控制信道传输地址。 e p a g k e p b t e r m i n a l c a p a b i l i t y s e t i11 一 一一一一一一一一一一一 一一一一一一 一一一+ t e r m i n a l c a p a b i l ：t y s e t a e k ( 1 4 ) o p e n l o g i c a l c h a n n e l ( 1 5 i ) 一一一一一一一 一一一一一一一一一一一 一一一一一一一一一一 o p e n l o g i c a l c h a r m e l a c k ( 1 8 ) - 图2 4控制信令流 ( 1 1 ) h2 4 5 控制信道在e p a 、e p b 之间建立起来。e p a 向e p 8 发送h 2 4 5 “t e r m i n a l c a p a b i l i t y s e t ”消息以交换其c a p a b i l i t y 。 ( 1 2 ) e p b 向e p a 应答“t e r m i n a l c a p a b i l i t y s e t a c k ”消息。 ( 1 3 ) e p b 向e p a 发送h 2 4 5 “t e r m i n a l c a p a b i l i t y s e t ”消息以交换其c a p a b i l i t y 。 ( 1 4 ) e p b 向e p a 应答“t e r m i n a l c a p a b i l i t y s e t a c k ”消息。 ( 1 5 ) e p a 向e p b 发送“o p e n l o g i c a l c h a n n e l ”消息打开一条与e p b 之间的媒 体信道。r t c p 信道的传输层地址也包含在这条消息中。 ( 1 6 ) e p b 向e p a 发送“o p e n l o g i c a l c h a n n e l a c k 消息确认建立一条从e p a 到 e p b 的单向逻辑信道。在应答消息中包含e p b 分配的供e p a 使用以发送 r t p 媒体流的r t p 传输层地址，同时还包括先前从e p a 收到的r t c p 地 址。 ( 1 7 ) e p b 打开一条从e p b 到e p a 的逻辑信道。操作同( 1 3 ) 。 p a g e 1 1o f 5 0 卜epa 阁? r a s 消息 h 2 4 5 消息 图2 6 呼叫释放信息流 ( 2 3 ) e p b 发送e n ds e s s i 。n c 。m m a n d ”消息切始化呼叫释放过程。 p a e e1 2 o r5 f ) 皇至壁垫奎堂婴塞竺迨壅堑 _ _ _ _ _ - _ - _ _ _ _ _ _ _ _ - - _ _ _ _ _ _ - _ - _ _ - _ _ _ _ _ _ _ _ _ _ ( 2 4 ) e p a 释放呼叫，并发送“e n d s e s s i o n c o m m a n d ”确认释放呼叫。 ( 2 5 ) e p b 发送h2 2 5 “r e l e a s e c o m p l e t e ”消息结束呼叫释放过程a ( 2 6 ) e p a 、e p b 向g k 发送“d r q ”消息与g k 解除注册。 ( 2 7 ) g k 分别向e p a e p b 发送“d c f ”消息解除注册。 以上我们对i p 电话的整个工作流程作了简单介绍，下边针对这个工作流程分 析它可能遭受的攻击。然后针对攻击提出解决方案。 2 2 2i p 电话安全性分析 我们先介绍常见攻击方法，然后分析i p 电话在每个环节上可能遭受的攻击。 222 1 攻击方法简述 手声f ( i n t e r r u p t i o n ) ：这是对系统可用性( a v a i l a b i l i t y ) 的攻击它 使正常通信中断，或系统变得不可用。 j 竺磁( i n t e r c e p t i o n ) ：这是对机密性( c o n f i d e n t i a l i t y ) 的攻击，它使 非授权用户获得系统信息( 如捕获数据包) 。 篡改( m o d i f i c a t i o n ) ：这是对完整性( i n t e g r i t y ) 的攻击，它使非授 权用户不仅获取系统信息，并且对其进行了修改。 鲐学( f a b r i c a t i o n ) ：这是对真实性( a u t h e n t i c i t y ) 的攻击，它使非 授权用户将伪造的信息插入系统。 p a g e 1 3o f5 ( 1 电子科技大学研究生论文纸 这四种攻击方法可分为两种类型：j i 动攻击和消极攻击。 消极攻击 消极攻击属于偷听( e a v e s d r o p p i n g ) 或监视传输信息这一类型。攻击者的目 的是获取被传输的信息。消极攻击有两种类型： 获我力雾( r e l e a s eo f m e s s a g ec o n t e n t s ) ：获取传输信息内容( 如电话内 容、电子邮件内容、传输文件的内容等) 。 挠童! 分析( t r a f f j ca l l a l v s i s ) ：在传输信息内容受到保护( 偷听者即使获 取这些信息，也不能知道其中真正的内容，这防止了r e l e a s eo f f m e s s a g e c o n t e n t s 攻击) 的情况下，攻击者通过观察消息的模式，仍能分析出通信 双方的位置、身份，以及交换消息的频度和长度。这些信息可用于猜测 通信的类型。 消极攻击难以检测，因其不改变数据。防范它的重点在于阻止，而非检测。 ，一 主动攻击 主动攻击涉及对数据流的修改或是伪造数据，可细分为四类： 劈鞋( m a s q u e r a d e ) ：一个主体假装成另一个主体。伪装通常包含另一种 主动攻击。例如在一次成功的身份鉴别过程中，抓取其中的鉴别序列， 然后在另一次鉴别中重放这些鉴别序列，这样个拥有少量授权的用户 可以装扮成另一个拥有更多授权的用户。 重兹( r e p l a y ) ：消极抓取数据单元，然后重传这些数据，以获得不属于 自己的授权。 纂改精益( m o d i f i c a t i o no fm e s s a g e s ) ：修改合法消息的某些部分，或者 延迟合法消息，或者修改合法消息的次序，以获取不属于自己的授权。 例如，将含义为“让j o h n 读机密文件”的消息篡改为“让f r e d 读机密 文件” 拒绝露务( d e n i a lo fs e r v i c e ) ：阻止或抑制正常使用或管理系统。这种攻 击一般有特定目标，如抑制发往特定目的地( 安全审汁服务器) 的消息。 另一种形式的拒绝服务攻击是通过发送大量消息使网络超载，从而破坏 整个网络。 主动攻击容易检测，但难以绝对防止，因为这需要在每时每刻对所有通信设 电子科技大学研究生论文纸 施、路径进行物理保护。对主动攻击，重点在于检测和从攻击中恢复。 2222 i p 电话脆弱性分析 我们根据1 节中提出的i p 电话安全性要求，结合2l3 节中描述的m 电话工 作过程，按其工作阶段，对i p 电话作脆弱性分析。 2222 l 呼叫建立阶段 7 在呼叫建立过程阶段，存在两组通信，是终端与网守之间的通信；二是两 个终端之间的通信。 ( 1 ) 终端与网守之间的通信： ? 在 l 3 2 3 建议中，网守是可选设备。但要实现i p 电话的安全性，我们认为必 须设置网守，其理由如下：根据d 电话安全性要求，“仅向合法用户提供服务”， “用户账户不能( 或很难) 被盗用”，“服务提供商可以对合法用户进行授权，以 对不同用户提供不同级别的服务”。这些都必须通过网守功能才能满足。在两个 终端建立连接之前，首先到网守注册，这可以达到两个目的：网守对终端进行 认证( 身份鉴别) ；网守可以对提供给终端的服务进行授权。 对终端和网守之间的通信可能存在伪装攻击和重放攻击。其攻击的目的主要 是取得授权范围以外的对i p 电话系统的使用权。其解决办法是在网守和终端之 间执行强有力的认证协议。认证用来验证应答者确实是他们所宣称的。通过认证， 非法用户不能伪装成合法用户获得服务，而一个合法用户也不能伪装成另外一个 身份去呼叫其他用户；另外，通过身份认证，还为正确执行网守上配置的授权策 略提供了保证。反之，终端也需要对网守进行认证，以防止攻击者伪装成网守， 进行中间人攻击。相互认证通过采用某种认证协议完成。对终端的服务授权通过 = 芷网守上配置一定授权策略来实现，这取决于服务提供商。 在认证之外，终端和网守之间还要交换r a s 消息来实现带宽分配等其他功 能。对这些消息存在篡改攻击。这就必须对交换的r a s 消息加密加密的同 时需要进行完整性鉴别，否则，单纯的加密将失去意义。 对网守还可能存在拒绝服务攻击。其解决办法是及时检测、迅速恢复，并记 入审计日志。 根据我们的研究目的，重点将放在对认汪协议的讨论上。针对i p 电话应用， 这种认证协议应该有足够的强度和方便普通用户使用的特点。 电子科技大学研究生论文纸 一一一 结论：终端与网守之间r a s 信道需要相互认证、加密和完整性鉴别a ( 2 ) 两个终端之间的通信 在呼叫建立阶段，两个终端之间要交换呼叫信令通过网守中继，以协商 如何建立随后的h2 4 5 控制信道、其安全要求如何，被叫用户是否同意接收这个 呼叫等。这些信息都需要被保护( 加密、完整性鉴别) 队防受到篡改攻击。例如， 攻击者可以篡改关于安全要求方面的消息，强迫以不安全方式打开h2 4 5 信道一 一随之而来地，就有可能迫使语音以明文方式传输，或从h2 4 5 信道上截取加密 密钥，以便窃听。其次，为了防止恶意用户的伪装攻击，两个终端之间还需要相 互认汪。 结论：两个终端之间的呼叫信令信道需要相互认证、加密和完整性鉴别。 2 2222 h 2 4 5 控制信道传信过程 h2 4 5 控制信令是在两个终端之间交换的，其作用是协商如何建立媒体信道。 其交换的信息包括媒体信道的私有参数( p r i v a c ys a p e c t ) 及其他编码参数；媒体 信道的加密算法和密钥；打开，关闭媒体信道等。这些消息一旦遭到伪造、篡改 或泄露攻击，攻击者就可以控制或获取媒体信道的各种参数，从而获取媒体信道 上的通话内容。防范伪造攻击需要进行身份认证，防范篡改攻击需要对消息完整 性鉴别，防范泄露需要对消息加密。 结论：h2 4 5 信道需要认证，加密和完整性鉴别。 22223 媒体流和媒体控制流传输过程 媒体流和媒体控制流均在两个终端之间传输。 媒体流必须加密，这是整个口电话应用中需要被保护的核心。对于语音而言， 与前边的各种消息不同，加密的语音不需要进行完整性校验，因为语音( r t p 流) 本来就是在不可靠的u d p 之上传输的，i p 电话可以容忍语音包的丢失。当 加密语音包被篡改时，解密出来的语音数据是无意义的它不能被变成另外一 句话( 除非在很极端的情况下，如下文讨论的受到极端情况下的c u t a n d p a s t e 攻 击) ，这种情况下，篡改一个语音包跟这个语音包在q o s 较差的网络上丢失所造 成的结果是一样的。这对通话本身不构成严重威胁( 一定程度上造成“拒绝服务” 攻击的效果) ，通话内容的机密性是可以得到保证的；而且，当出现较多篡改时， 通话双方可以认为是线路质量太差而中止通话。通话双方无需进行认证，因为可 p a g e 1 6o f5 0 电子科技大学研究生论文纸 以通过各自的声音特点由通话双方自己进行认证。并且，只要双方共享加密密钥， 就已经实现了简单的认证。 语音控制流( r t c p 流) 用来提供r t p 流数据传输质量的反馈信息。对语音 控制流的有效攻击有伪造和篡改，攻击者的目的是通过破坏语音控制流来破坏正 常通话，造成拒绝服务攻击的效果。语音控制流不泄露，也不直接影响用户通话 内容，可以不进行加密，但可以选择进行认证和完整性鉴别。 结论：媒体流必须加密( 不用完整性鉴别) ；对媒体控劫流可以进行身份认证和 完整性鉴别，也可以不进行安全处理。? 2 222 4 释放呼叫过程 释放呼叫过程中的安全问题与呼叫建立过程相同。为保证呼叫被安全地释 放，必须进行认证和加密( 包括对消息的完整性鉴别) 。 结论：呼叫释放过程中需要进行：身份认证、消息加密及完整性鉴别。 电子科技大学研究生论文纸 3 、安全解决方案 3 1 安全方案分析 根据1 中提出的i p 电话安全要求，结合22 节的安全性分析，我们可以看出， i p 电话的安全问题主要集中在对用户的身份鉴别( 验证用户的真实性) 和对语 音流的加密( 保证语音的机密性) 上。对语音流的加盔问题又可分为：采用何种 加密算法；密钥如何产生和分发这两个问题。根据这个思路，我们可以设计出如 下的安全方案： 呼叫建立阶段： 这一阶段保护的是r a s 消息流和呼叫信令消息流。 终端分别与网守进行认证，在e p a 和g k ，e p b 和g k 之间建立起信 任关系。 。 终端与网守分别建立起两条安全通道，用以传输r a s 消息和呼叫信 令消息。这两条通道可以用对称加密算法加密，以减小生成代价。 r a s 信道和呼叫信令信道具有不同的传输地址，但可以使用相同的 加密密钥，以减小生成密钥的开销。 呼叫信令消息是在两个终端之间交换的，但中间通过网守进行中继。 因此，呼叫信令消息实际是在网守和终端之间交换，通过网守和终端 之间的安全通道进行。 对称加密密钥的生成应利用认证结果，一方面可以保证其真实性，另 一方面也减小了为建立安全信道而进行额外认证的开销。 h 2 4 5 控制信令协商阶段： 这一阶段保护的是h2 4 5 控制信令流。 h 2 4 5 控制信令直接在两个终端之间交换。用加密信道来保护h2 4 5 控制信令消息流。 加密信道采用对称加密算法，以获得较高的效率和较小的生成代价。 密钥的分发要利用认证基础上建立的安全信道( e p a 和g k 之间，e p b 和g k z f 日q ) ，这样一方面保证其真实性，另方面也避免了为建立 安全信道而必须进行认证的开销。 p a g e 1 80 r5 ( j 电子科技人学研究生论文纸 加密掉法和密钥协商用呼叫建立阶段f l 的呼叫信令实现。这样，当呼 叫建立阶段结束时，安全的h ，2 4 5 控制信道已经建立起来了。这样就 使得两个阶段的切换可以在安全上卜文中完成。 媒体流传输与媒体控制流传输阶段： 这一阶段保护的是媒体流和媒体控制流。 ， 媒体流是整个i p 电话保护的核心。必须以强的加密算法予以保护。 但同时考虑到媒体传输的实时性要求，应采用快速高效的加密算法。 媒体流的加密算法和密钥协商应在安全的h 2 4 5 信道中协商完成，以 保证在媒体流信道建立之前各种安全参数已交换完毕，媒体流信道一 旦建立，就是一条安全的信道。 媒体控制流可以不予以保护。 呼叫释放阶段：， 这一阶段保护的是r a s 消息和呼叫信令流。其安全机制与呼叫建立阶段相 同。并且可以继续使用呼叫建立阶段建立起来的安全通道。 3 2 加密算法选取 下面分三个方面来讨论：语音流加密算法的选取；终端与网守之间身份鉴别 方法的选取：语音流信道、r a s 信道、呼叫信令信道和控制信令信道的密钥产 生与分发。 3 2 1 语音流加密算法的选取 根据31 节提出的要求，语音流的加密应有强加密和快速高